Kişisel verilerin güvenliği şirketler ve çalışanları için ciddi önem arz ediyor. İş arayışında kullanılan CV’lerde ve çalışan adaylarından istenen belgelerde kişilerle ilgili hassas verileri içerdiğine dikkat çeken Siberasist Genel Müdürü Serap Günal, şirketlerin çalışan verilerinin gizliliğini korumak ve güvenliğini sağlamak için göz ardı etmemeleri ve takip etmeleri gereken 5 önemli adımın olduğunu vurguluyor.
Bilginin güç olduğu bu çağda, veriler bilgi edinmeye giden yolda en kritik unsur olarak görülüyor. Toplanan bu veriler bazen önemsiz görünebilir ancak hackerlerin ellerine düştüğünde kullanıcılar için tehlikeli boyutlara ulaşabiliyor. Özellikle şirket verilerine gözlerini diken hackerlerin çeşitli oltalama saldırıları için çalışanlara ait kişisel birçok veriyi de hedeflediği görülüyor. Bu durumun kişisel verilerin korunmasında bireysel çaba kadar kurumsal çabanın da önemini ortaya çıkardığını aktaran Siberasist Genel Müdürü Serap Günal, çalışan verilerini gizli tutmanın ve özellikle işe alım süreçlerinde İK departmanlarının sorumluluklarının KVKK ile daha da arttığına dikkat çekiyor. Kişisel verilerin güvenliği konusunda şirketlerin süreçlerini yeniden oluşturmaları konusunda harekete geçmesi gerektiğini de hatırlatan Günal’a göre, şirketlerin çalışan verilerini güvende tutabileceği önemli noktalar bulunuyor.
Spam saldırılarının hedefi Türkiye’deki kurumsal hesaplar: Nasıl korunulur?
Kişisel verilerin güvenliği nasıl sağlanır?
- Çalışanlar için uygulanan gizlilik yasalarına hakim olun. Kanunları bilmek ve çalışanları korumak için nasıl uygulandığı konusu hakkında bilgi sahibi olmak şirketlerin sorumluluğunda. Küresel çapta operasyonel büyüklüğe sahip şirketlerin çalışanları için bilmeleri gereken gizlilik yasalarına küresel düzenlemeler de ekleniyor. Şirketlerin özellikle Türkiye için KVKK ve Avrupa için de GDPR’ye dikkat etmesi gerekiyor.
- Topladığınız ve işlediğiniz kişisel verilerin amaca uygun olması gerekiyor. Genel olarak şirketler, çalışanları hakkında sadece işle ilgili olan verileri toplayabiliyor. Tipik bir çalışan veri havuzunda ise özgeçmiş, sağlık bilgileri, referanslar, maaş bilgileri, iş sözleşmeleri ve performans incelemeleri yer alabilir. Bunlar dışında ya da amaca uygun olmayan veri toplama ya da saklama yasa dışı olarak kabul ediliyor.
- Açık rıza almayı ve KVKK adımlarını atlamayın. Şirketlerin çalışan verilerini korumaları kadar bu verileri neden ve nasıl aldığını çalışanlarına anlatmaları önem arz ediyor. Veri toplama işlemini çalışana en kolay aktarma yolu kanuna uygun resmi onay politikaları olarak öneriliyor. Bu politikaları düzenli olarak kontrol etmek ve çalışmalar yapmak kanuna bağlı kalmayı kolaylaştırıyor.
- Veri ihlallerini çalışanlara bildirmekte gecikmeyin. KVKK ve GDPR ile uygun veri koruma politikasına sahip olması gereken şirketlerin herhangi bir ihlal durumunda, çalışanını ve ilgili makamları belirtilen süre içinde bildirme zorunluluğu bulunuyor.
- Verilerin işlenme süreçlerini sürekli denetleyin. Şirket İK biriminde bulunan verilerin sürekli denetlenmesi ve işe alım süreçlerinin de kaydının tutulması gerekiyor.